Zach Edwards, chercheur indépendant sur la confidentialité et la sécurité, déclare que « la technologie sensible ne peut être vendue au hasard à aucune entreprise, dans aucun pays du monde ».
“Alors que Corellium est un outil de rétro-ingénierie qui ne crée pas intrinsèquement de risques par sa vente, l’objectif principal de l’outil est d’inverser les logiciels malveillants”, déclare Edwards. “Et si vous vendez le produit à des développeurs de logiciels malveillants dans des pays opposés aux intérêts occidentaux, nous devrions supposer que cet outil sera utilisé pour améliorer les logiciels malveillants.”
Une personne qui a essayé Corellium dans le passé, qui a demandé à rester anonyme parce qu’elle n’était pas autorisée à parler à la presse, a déclaré que “compte tenu de ce qui se passe dans le monde aujourd’hui, vous ne devriez pas traiter avec des entreprises russes”, comme Elcomsoft .
Le PDG d’Elcomsoft, Katalov, a déclaré que “la décision de travailler avec une entreprise basée en Russie est un choix personnel”.
“Soyez assuré que nous nous efforçons toujours de fournir les meilleurs logiciels et services, et essayons de maintenir de bonnes relations avec nos clients partout dans le monde”, ajoute-t-il. “Nous continuerons simplement à faire notre travail, à rendre le monde plus sûr et à lutter contre le crime.”
Adrian Sanabria, un vétéran de la cybersécurité, déclare qu’il n’est pas surprenant que “les groupes intéressés par la création d’exploits iOS utilisent une plate-forme conçue pour la recherche sur la sécurité iOS”.
“Pour moi, l’essentiel à retenir est qu’Apple a créé le besoin de plates-formes comme Corellium en ne fournissant pas les outils, l’accès et la transparence dont le marché a besoin et souhaite”, dit-il.
Zones dangereuses
Certaines des organisations et entreprises liées à Corellium dans le document proviennent de pays considérés comme controversés par la plupart des membres de la communauté de la cybersécurité en Occident, y compris Alex Stamos, qui a agi en tant que témoin expert pour Corellium dans le procès contre Apple.
“Personnellement, je ne pense pas qu’il serait éthique de vendre des exploits à l’Arabie saoudite”, a déclaré Stamos, directeur de l’Observatoire Internet de l’Université de Stanford, lors d’un témoignage qu’il a fourni dans le cadre du procès entre Apple et Corellium, qui est cité dans le document.
Stamos a également exprimé des doutes quant à la vente de produits aux Émirats arabes unis, dont le gouvernement entretenait une relation étroite avec DarkMatter. “Il a été démontré que les Émirats arabes unis utilisent des logiciels malveillants et des exploits pour espionner les journalistes et réprimer la dissidence locale”, a déclaré Stamos.
En réponse aux révélations du document, Stamos dit qu’il ne pense pas “qu’il soit approprié pour Apple d’utiliser la loi sur le droit d’auteur pour essayer d’arrêter la recherche sur la sécurité, et je ne pense pas qu’il soit responsable pour Corellium d’offrir son produit à des entreprises connues pour créer des logiciels malveillants”. logiciels pour les États autoritaires.
Le document comprend également les logos des clients présumés de Corellium et des entreprises qui lui sont liées. Outre les sociétés mentionnées précédemment, le document comprend le logo d’Azimuth, un fournisseur d’outils de piratage avancés pour les agences de renseignement et d’application de la loi des soi-disant Five Eyes. D’autres logos incluent le Center for Strategic Infocomm Technologies of Singapore, ou CSIT, ainsi que le logo d’une institution universitaire en Arabie saoudite appelée le Centre d’excellence en assurance de l’information (COEIA), hébergé à l’Université King Saud.
Les dirigeants de la CSIT n’ont pas répondu à une demande de commentaire. Outre le logo du COEIA, le document montre également un e-mail de 2019 intitulé “invitation à Corellium” envoyé à l’organisation. Le COEIA n’a pas répondu à une demande de commentaire.
La bataille juridique entre Apple et Corellium est en cours. À la fin du mois dernier, les deux sociétés ont comparu lors d’une audience devant le onzième circuit de la Cour d’appel des États-Unis en Floride. L’avocate d’Apple, Melissa Sherry, a fait valoir que le produit de Corellium n’est qu’une version légèrement modifiée d’iOS qui n’est pas suffisamment transformatrice pour ne pas être une utilisation équitable. L’avocat de Corellium, Kevin Russell, a déclaré que le produit aide les utilisateurs à “faire la lumière sur les fonctionnalités du système d’exploitation Apple” et constitue donc une utilisation équitable.
“Je ne pense pas qu’il y ait un véritable différend sur le fait que le but du produit est d’explorer les fonctionnalités non protégées du logiciel du système”, a-t-il déclaré. “Ce que les gens font avec cette connaissance fait l’objet d’une autre loi.”
